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Privacyverordening 

Hoofdstuk 1 Begripsbepaling en reikwijdte 
Privacy Gemeente Geldrop-Mierlo 2016 

De raad van de gemeente Geldrop-Mierlo; 

gelezen het raadsvoorstel RV GM2015.0558 van burgemeester en wethouders d.d. 3 november 2015; 
gelet op de artikelen 147 en 149 van de Gemeentewet en de Wet bescherming persoonsgegevens; 
overwegende dat het noodzakelijk is regels vast te stellen om een behoorlijke en zorgvuldige verwerking 
van persoonsgegevens in overeenstemming met de Wet bescherming persoonsgegevens te waarborgen, 

Besluit: 

Vast te stellen de Verordening Privacy Gemeente Geldrop-Mierlo 2016 
Artikel 1 begripsomschrijvingen 

In aansluiting bij en in aanvulling op de begripsomschrijvingen van de Wet bescherming persoonsge¬ 
gevens wordt in het bij of krachtens deze verordening bepaalde verstaan onder: 

a. afdelingen: de organisatorische eenheden van de ambtelijke organisatie van de gemeente; 

b. afdelingsbeheerder: degene die namens de verantwoordelijke is belast met de dagelijkse zorg 
voor het onderhoud en het gebruik van de verwerking van persoonsgegevens binnen diens afdeling 
in overeenstemming met het bij of krachtens de wet en deze verordening bepaalde; 

c. belanghebbende: degene wiens belang rechtstreeks bij een bepaalde verwerking van persoons¬ 
gegevens is betrokken; 

d. burgemeester: de burgemeester van de gemeente Geldrop-Mierlo; 

e. college: het college van burgemeester en wethouders van de gemeente Geldrop-Mierlo; 

f. CBP: het College Bescherming Persoonsgegevens als bedoeld in artikel 51 van de wet; 

g. centraal register: het register als bedoeld in artikel 12 van deze verordening; 

h. coördinator informatiebeveiliging: de door het bestuur van Dienst Dommelvallei en het college 
aangewezen natuurlijke persoon belast met de ondersteuning van de privacy beheerder voor zaken 
betreffende het informatiebeveiligingsbeleid, alsmede techniek en technologie in brede zin. Is op 
organisatieniveau verantwoordelijk voor het actueel houden van het informatiebeveiligingsbeleid, 
het adviseren bij projecten en het managen van risico's evenals het opstellen van rapportages; 

i. controller informatiebeveiliging: de door het bestuur van Dienst Dommelvallei en het college 
aangewezen natuurlijke persoon belast met de ondersteuning van de privacy beheerder voor zaken 
betreffende het informatiebeveiligingsbeleid, alsmede techniek en technologie in brede zin. Is op 
organisatieniveau verantwoordelijk voor de verbijzonderde interne controle op de naleving van 
het informatiebeveiligingsbeleid, de realisatie van voorgenomen veiligheidsmaatregelen en de 
escalatie van beveiligingsincidenten. 

j. privacy beheerder: de door het college aangewezen natuurlijke persoon belast met de coördinatie 
van de gegevensbescherming binnen de gemeente overeenkomstig het bij of krachtens de wet 
en deze verordening bepaalde; 

k. de wet: de Wet bescherming persoonsgegevens; 

l. Dienst Dommelvallei: het openbaar lichaam ingesteld krachtens de gemeenschappelijke regeling 
Dienst Dommelvallei; 

m. gemeente: de gemeente Geldrop-Mierlo; 

n. informatiebeveiligingsbeleid: het door Dienst Dommelvallei opgestelde en daar in beheer zijnde 
informatiebeveiligingsbeleid van de Dommelvallei organisaties, zijnde de gemeenten Geldrop- 
Mierlo, Nuenen en Son & Breugel en Dienst Dommelvallei; 

o. medewerker: de natuurlijke persoon die in dienst is van de gemeente, dan wel de natuurlijke 
persoon die anderszins in een hiërarchische relatie tot de gemeente staat; 

p. raad: de gemeenteraad van de gemeente Geldrop-Mierlo; 

q. verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan 
dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van per¬ 
soonsgegevens vaststelt; 

r. werkgroep privacy: een gemeentebrede overlegstructuur in het kader van de uitvoering en ter 
waarborging van het bij of krachtens de wet en deze verordening bepaalde; 


Artikel 2 reikwijdte 

Deze verordening is van toepassing op alle verwerkingen van persoonsgegevens die plaatsvinden 
binnen de afdelingen en bestuursorganen van de gemeente en die vallen onder de werkingssfeer van 
de wet. 
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Hoofdstuk 2 Organisatorisch kader 

Artikel 3 privacy beheerder 

1. Het college benoemt een privacy beheerder. 

2. Tot de taken en verantwoordelijkheden van de privacy beheerder behoren in elk geval: 

a. de coördinatie van en het toezicht houden op het bij of krachtens de wet en deze verordening 
bepaalde; 

b. het informeren en adviseren van de medewerkers en het college over ontwikkelingen die 
relevant zijn voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens; 

c. het beheer van het centraal register, als bedoeld in artikel 12 van deze verordening; 

d. het functioneren als contactpersoon voor zaken betreffende de verwerking van persoonsge¬ 
gevens; 

e. het doen van meldingen bij het CBP als bedoeld in artikel 27 van de wet. 

1. Het college kan nadere regels stellen omtrent de in lid 2 genoemde taken en verantwoordelijkheden. 

Artikel 4 Afdelingsbeheerder 

'I. Het college benoemt de hoofden van de afdelingen tot afdelingsbeheerder ieder voor wat betreft 

de verwerkingen van persoonsgegevens die plaatsvinden binnen zijn of haar afdeling. 

2. De afdelingsbeheerder neemt namens de verantwoordelijke en, indien voor de verwerking niet 
reeds aangemerkt als de verantwoordelijke, het college de nodige stappen teneinde te voldoen 
aan het bij of krachtens de wet en deze verordening bepaalde. 

3. Tot de taken en verantwoordelijkheden van de afdelingsbeheerder behoren in elk geval: 

a. het inzichtelijk maken van de werkprocessen en bijbehorende verwerkingen van persoons¬ 
gegevens; 

b. het bij de privacy beheerder met een of meer door het college vastgesteld(e) formulier(en) 
melden van een (wijziging of beëindiging van een) verwerking ten behoeve van opname in 
het centraal register, alsmede het beoordelen hiervan in het licht van de meldingsplicht en 
andere uit de wet voortvloeiende verplichtingen; 

c. het informeren en adviseren van de werkgroep privacy over ontwikkelingen die relevant 
zijn voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens. 

1. Het college kan nadere regels stellen omtrent de in lid 3 genoemde taken en verantwoordelijkheden. 

Artikel 5 werkgroep privacy 

1. Binnen de gemeente bestaat een werkgroep privacy onder het voorzitterschap van de privacy 
beheerder. 

2. De gemeentesecretaris wijst, na overleg met de privacy beheerder, medewerkers aan die met 
wederzijdse instemming deelnemen aan de werkgroep privacy. 

3. De werkgroep bestaat uit de privacy beheerder, de coördinator informatiebeveiliging, de controller 
informatiebeveiliging en de in lid 2 genoemde medewerkers. 

4. De werkgroep privacy komt bijeen: 

a. zo vaak als nodig, doch tenminste tweemaal per jaar; 

b. onverwijld, indien de omstandigheden daartoe noodzaken; 

c. wanneer de privacy beheerder dit nodig acht. 

1. Tot de taken en verantwoordelijkheden van de werkgroep privacy behoren in elk geval: 

a. het verzorgen van een tweejaarlijkse evaluatie van de uitvoering van het bij of krachtens de 
wet en deze verordening bepaalde; 

b. het stimuleren van een voortdurende ontwikkeling en actualisering van procedures en me¬ 
chanismen betreffende de verwerking van persoonsgegevens; 

c. het functioneren als klankbord voor medewerkers en (individuele) leden van de werkgroep; 

d. het organiseren van activiteiten die een voortdurende bewustwording ten aanzien van pri¬ 
vacy en gegevensbescherming ten doel hebben. 

1. Het college kan nadere regels stellen omtrent de in lid 5 genoemde taken en verantwoordelijkheden. 

Hoofdstuk 3 Beveiliging en bewaren van persoonsgegevens 
Artikel 6 technische en organisatorische maatregelen 

1. Het college waarborgt een passend beveiligingsniveau van persoonsgegevens door middel van 
het hebben, onderhouden en naleven van technische en organisatorische maatregelen, neergelegd 
in een informatiebeveiligingsbeleid. 

2. De afdelingsbeheerder draagt binnen zijn afdeling zorg voor de inventarisatie van de risico's die 
samenhangen met de verwerkingen van persoonsgegevens en de naar aanleiding daarvan ver- 
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eiste maatregelen en stelt de privacy beheerder, de verantwoordelijke en, indien voor de verwerking 
niet reeds aangemerkt als de verantwoordelijke, het college hiervan op de hoogte. 

3. Het college zal, naar aanleiding van de in lid 2 geïnventariseerde risico's, indien noodzakelijk, in 
overleg treden met het bestuur van de Dienst Dommelvallei over te treffen noodzakelijke maatre¬ 
gelen en aanpassing van het informatiebeveiligingsbeleid. 

Artikel 7 bewerkersovereenkomst 

1. De afdelingsbeheerder draagt er zorg voor dat een verwerking van persoonsgegevens die tot zijn 
afdeling behoort en die wordt uitgevoerd door een bewerker, wordt geregeld in een overeenkomst 
of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat in overeenstemming 
met artikel 14 van de wet. 

2. Het college kan nadere regels stellen omtrent de wijze van sluiten en inhoud van de in lid 1 ge¬ 
noemde overeenkomst of andere rechtshandeling. 

Artikel 8 bewaren persoonsgegevens 

'I. De afdelingsbeheerder stelt voor zijn afdeling procedures en mechanismen vast die waarborgen 

dat: 

a. persoonsgegevens worden opgeslagen, bewaard en vernietigd conform de eisen in de wet 
en het informatiebeveiligingsbeleid; 

b. persoonsgegevens niet langer worden bewaard in een vorm die het mogelijk maakt de be¬ 
trokkene te identificeren, dan noodzakelijk is voor de verwezenlijking van de doeleinden 
waarvoor zij worden verzameld of vervolgens worden verwerkt. 

1. Het college kan nadere regels stellen omtrent het bewaren en vernietigen van persoonsgegevens 
als bedoeld in lid 1. 

Hoofdstuk 4 Informatieverstrekking en rechten betrokkenen 
Artikel 9 informatieverstrekking raad 

Het college stelt de raad op de hoogte van de resultaten van de tweejaarlijkse evaluatie als bedoeld in 
artikel 5 lid 5 sub a van deze verordening. 

Artikel 10 informatieverstrekking en rechten betrokkenen 

1. De afdelingsbeheerder stelt voor zijn afdeling procedures en mechanismen vastten behoeve van: 

a. de informatieverstrekking aan betrokken als bedoeld in hoofdstuk 5 van de wet; 

b. de rechten van betrokkenen als bedoeld in hoofdstuk 6 van de wet. 

1. De procedures en mechanismen worden ter goedkeuring voorgelegd aan de privacy beheerder 
en ten minste eenmaal per jaar geëvalueerd. 

2. Het college kan nadere regels stellen omtrent de in lid 1 genoemde procedures en mechanismen. 

Hoofdstuk 5 Centraal register 
Artikel 11 centraal register 

1. De privacy beheerder stelt, namens het college, een centraal register in dat is bestemd voor de 
inschrijving van verwerkingen van persoonsgegevens waarop deze verordening van toepassing 
is. 

2. De privacy beheerder is, namens het college, belast met het beheer van het centraal register, 
waaronder de zorg voor de juistheid en volledigheid ervan. De privacy beheerder mag daarbij in 
beginsel vertrouwen op hetgeen hem door de afdelingsbeheerder wordt medegedeeld. 

3. Bij de inschrijving worden de volgende gegevens vermeld: 

a. de verantwoordelijke; 

b. de naam van de verwerking; 

c. de betreffende afdeling en cluster; 

d. de doeleinden van de verwerking; 

e. de gronden van de verwerking; 

f. de herkomst/verkrijgingswijze van de persoonsgegevens; 

g. de personen van wie persoonsgegevens worden verwerkt (betrokkenen); 

h. de persoonsgegevens die worden verwerkt; 

i. de ontvangers aan wie de gegevens kunnen worden verstrekt; 

j. de bewaartermijn van de gegevens; 

k. een algemene omschrijving van de beveiligingsmaatregelen; 

l. indien van toepassing, doorgifte aan landen buiten de EU; 

m. indien van toepassing, de bewerker; 
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n. het meldingsnummer bij het CPB dan wel de vrijstellingsgrond; 

o. eventuele bijzonderheden. 

1. Bij wijziging van een of meer van de onder lid 3 genoemde gegevens wordt de verwerking in het 
centraal register aangepast. 

2. Bij beëindiging van een verwerking wordt de verwerking in het centraal register doorgehaald. 

3. Het college kan nadere regels stellen omtrent het beheer van het centraal register. 

Hoofdstuk 6 Toezicht en controle 
Artikel 12 toezicht 

1. Op de verwerking van persoonsgegevens en de naleving van het bij of krachtens de wet en deze 
verordening bepaalde wordt toezicht uitgeoefend door het college. 

2. Voor de uitoefening van zijn toezichthoudende functie wordt het college terzijde gestaan door de 
privacy beheerder. Artikel 3 lid 2 sub b van deze verordening is van overeenkomstige toepassing. 
De privacy beheerder beschikt voor dit doel over alle bevoegdheden die daarvoor redelijkerwijs 
noodzakelijk zijn te achten. Ingeval van twijfel of verschil van mening daaromtrent beslist het 
college. 

3. De personen die bij een onder deze verordening vallende verwerking van persoonsgegevens zijn 
betrokken, verstrekken desgevraagd de privacy beheerder alle inlichtingen en verlenen hem alle 
overige medewerking die hij voor de uitoefening van zijn taak behoeft. 

4. De privacy beheerder heeft toegang tot alle ruimten, waar een onder deze verordening vallende 
verwerking van persoonsgegevens plaatsvindt. Hij is bevoegd apparatuur, programmatuur, 
boeken, bescheiden en andere gegevensdragers te onderzoeken en zich de werking van apparatuur 
en programmatuur te doen tonen. Uitgezonderd zijn het Reisdocumenten Aanvraag en Afgifte 
Station en het Nieuw Rijbewijs Document systeem. 

5. De privacy beheerder rapporteert over zijn bevindingen aan het college en aan de afdelingsbe- 
heerder onder wie de verwerking ressorteert en adviseert hen over eventueel te nemen maatre¬ 
gelen. 

6. Het college kan nadere regels stellen omtrent de in dit artikel genoemde taken en bevoegdheden 
van de privacy beheerder. 

Artikel 13 onderzoek 

1. De privacy beheerder kan ambtshalve een onderzoek instellen naar de wijze waarop ten aanzien 
van de verwerking van persoonsgegevens toepassing wordt gegeven aan het bij of krachtens de 
wet en deze verordening bepaalde. 

2. Het in artikel 12 lid 3 en lid 4 van deze verordening bepaalde is van overeenkomstige toepassing. 

3. De privacy beheerder doet mededeling van zijn voorlopige bevindingen aan het college en de 
belanghebbenden die bij het onderzoek zijn betrokken en stelt hen in de gelegenheid hun ziens¬ 
wijze daarop te geven. 

4. De privacy beheerder doet mededeling van zijn conclusies en aanbevelingen aan het college en 
de belanghebbenden die bij het onderzoek zijn betrokken. 

5. Een mededeling aan belanghebbende als bedoeld in lid 3 en lid 4 blijft achterwege indien zodanige 
mededeling onverenigbaar is met het doel van de gegevensverwerking of de aard van de per¬ 
soonsgegevens, dan wel gewichtige belangen van anderen dan de belanghebbende, de verant¬ 
woordelijke daaronder begrepen, daardoor onevenredig zouden worden geschaad. Indien het 
college mededeling van zijn bevindingen achterwege laat, zendt het de belanghebbende zodanig 
bericht als hem geraden voorkomt. 

6. Het college kan nadere regels stellen omtrent de op in dit artikel genoemde taken en bevoegdheden 
van de privacy beheerder. 

Hoofdstuk 7 Slotbepalingen 
Artikel 15 hardheidsclausule 

De verantwoordelijke kan van deze verordening afwijken, voor zover toepassing daarvan voor de be¬ 
trokkene gevolgen zou hebben die wegens bijzondere omstandigheden onevenredig zijn in verhouding 
tot de met de verordening te dienen doelen. De Wbp dient hierbij wel in acht te worden genomen. 

Artikel 16 onvoorziene omstandigheden 

In de gevallen waarin het bij of krachtens deze verordening bepaalde niet voorziet of daaromtrent on¬ 
duidelijkheid bestaat beslist het college. 

Artikel 17 inwerkingtreding en citeertitel 

1. Deze verordening treedt in werking op 1 januari 2016 
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2. Deze verordening kan worden aangehaald onder de titel Verordening Privacy Gemeente Geldrop- 
Mierlo 2016. 

Aldus vastgesteld in de openbare raadsvergadering van 14 december 2015 
De raad voornoemd, 

G.A.A. van Luijn B.H.M. Link 
griffier voorzitter 

Toelichting verordening 

Algemeen 

De gemeente Geldrop-Mierlo verwerkt persoonsgegevens, dat wil zeggen elk gegeven betreffende een 
geïdentificeerde of identificeerbare natuurlijke persoon. Privacy speelt daarbij een belangrijke rol. Wet¬ 
en regelgeving spreken in dat kader veelal van de bescherming van de persoonlijke levenssfeer. Het 
algemeen juridisch kader voor privacy is neergelegd in de Wet bescherming persoonsgegevens (Wbp). 
Op grond van deze wet dienen deze gegevens op een behoorlijke en zorgvuldige wijze te worden ver¬ 
werkt. Kernbegrippen daarbij zijn doeleinden, grondslag en noodzakelijkheid. Deze wet stamt echter 
nog uit de tijd voor de digitale revolutie en zaken alleen nog 'op papier' stonden. Met de op komst 
zijnde Europese verordening, de Algemene Verordening Gegevensbescherming, komt er een vernieuwd 
en aangescherpt juridisch kader dat beter aansluit bij de hedendaagse praktijk. Bovendien krijgt het 
CBP meer mogelijkheden om dit kader te handhaven, onder meer door het opleggen van hoge boetes. 
De rol van privacy is lange tijd onderbelicht geweest. Zo werd het belang van privacy vrijwel altijd on¬ 
dergeschikt geacht aan het belang van veiligheid. De gemiddelde burger leek zich ook niet zo te interes¬ 
seren in privacy en een veelgehoorde reactie was dan ook "van mij mogen ze alles weten, want ik heb 
niets te verbergen'.' Het delen van allerlei persoonlijke gegevens via sociale media zonder te letten op 
privacy instellingen was dan ook aan de orde van de dag. Sinds kort lijkt er echter sprake te zijn van 
een kentering. In Europa is op dit moment volop aandacht voor privacy, zoals ook blijkt uit de Europese 
verordening. Burgers zijn zich ook steeds meer bewust van welke informatie zij met welke partijen delen. 
Een zorgverzekeraar die de beschikking krijgt over gezondheidsgegevens kan bijvoorbeeld besluiten 
dat iemand niet in aanmerking komt voor een bepaalde verzekering. De gedachte om volledig met rust 
te worden gelaten is in het digitale tijdperk echter een illusie. De huidige invulling van privacy kenmerkt 
zich dan ook met name door het streven naar een behoorlijke en zorgvuldige omgang met persoonsge¬ 
gevens en de positie van betrokkenen zodanig te versterken dat zij 'in control' komen van hun eigen 
persoonlijke gegevens. 

Twee inhoudelijke opmerkingen vooraf. In de verordening wordt op verschillende plaatsen de zinsnede 
"procedures en mechanismen" aangehaald. Dit dient breed te worden uitgelegd. Er kan gedacht worden 
aan stappenplannen en checklisten, maar bijvoorbeeld ook aan folders en brochures. Bovendien kan 
het systeem zodanig worden ingesteld dat bepaalde zaken ingevuld moeten worden voordat het proces 
kan worden voortgezet. Het afschermen of ontoegankelijk maken van systeemonderdelen behoort 
eveneens tot de mogelijkheden. Kortom, praktische maatregelen die moeten bijdragen aan een behoor¬ 
lijke en zorgvuldige omgang met persoonsgegevens. De verantwoordelijkheid voor het treffen van 
deze maatregelen wordt neergelegd bij de afdelingsbeheerders. Zij hebben het beste zicht op wat er 
binnen hun afdeling plaatsvindt, op welke wijze te werk wordt gegaan en waar eventuele risico's liggen. 
Daarnaast is van belang voor ogen te houden dat de verordening met de Wbp als vertrekpunt is ge¬ 
schreven. Wanneer in bijzondere wetgeving niets wordt genoemd is de Wbp van toepassing. Bijzondere 
wetgeving kan echter voor afwijkende en aanvullende eisen zorgen. De Wet bevordering integriteitsbe- 
oordelingen door het openbaar bestuur (Wet Bibob) is hiervan een belangrijk voorbeeld. Ten overvloede 
wordt opgemerkt dat hoewel de bijzondere wetgeving niet expliciet in de verordening wordt genoemd, 
deze onverkort van toepassing is als een verwerking van persoonsgegevens onder het bereik van die 
bijzondere wet valt. Door het in kaart brengen van de werkprocessen en bijbehorende verwerkingen 
van persoonsgegevens kan binnen de afdeling worden beoordeeld welke bijzondere wetgeving een 
rol speelt en hoe aan de daarin neergelegde eisen tegemoet kan worden gekomen. 

Daarnaast is van belang te vermelden dat er verwerkingen van persoonsgegevens zijn waarop de Wbp 
in zijn geheel niet van toepassing is. Deze verwerkingen kennen hun eigen wet- en regelgeving. Een 
voorbeeld hiervan is de Wet basisregistratie personen. Het kader voor de verwerkingen van persoons¬ 
gegevens waarop de Wet basisregistratie personen van toepassing is de Verordening gemeentelijke 
basisregistratie personen Geldrop-Mierlo. 

Hoofdstuk 1 Begripsbepaling en reikwijdte 

Dit hoofdstuk bevat de definities die zowel gelden voor de verordening als daarop gebaseerd beleid. 
Voor de reikwijdte van de verordening is aangesloten bij de Wet bescherming persoonsgegevens. In 
het kader van deregulering is ervoor gekozen slechts een beperkt aantal bepalingen van deze wet (ex¬ 
pliciet) te laten terugkomen in de verordening. Zo worden de wettelijke algemene uitgangspunten, dat 
wil zeggen de voorwaarden voor een rechtmatige verwerking van persoonsgegevens, bekend veron¬ 
dersteld en niet opnieuw herhaald. 
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Hoofdstuk 2 Organisatorisch kader 

In de hoofdregel zal het college of de burgemeester juridisch worden aangemerkt als de verantwoorde¬ 
lijke in de zin van de wet. Voor de feitelijke verwerking van persoonsgegevens binnen de organisatie 
is echter van belang dat duidelijk is wie waarvoor verantwoordelijkheid draagt. Dit hoofdstuk legt 
daarvoor de basis, maar biedt tegelijkertijd het college de mogelijkheid om dit nader in te vullen. 

De afdelingshoofden fungeren als afdelingsbeheerder en dragen zorg voor de verwerkingen van per¬ 
soonsgegevens die plaatsvinden binnen hun afdeling. Belangrijk onderdeel daarvan is het in kaart 
brengen en blijven monitoren van de werkprocessen en de persoonsgegevens die daarbij worden 
verwerkt. Interne transparantie en duidelijkheid zijn immers belangrijke voorwaarden voor het slagen 
van een privacybeleid. 

De privacy beheerder heeft een coördinerende, adviserende en toezichthoudende functie en draagt 
met name zorg voor organisatiebrede zaken. Benadrukt dient te worden dat de privacy beheerder geen 
taken van de afdelingsbeheerder overneemt, noch voor hen verantwoordelijk is. De afdelingsbeheerder 
draagt zelf de verantwoording voor de afdeling. Er is tevens een coördinator informatiebeveiliging en 
een controller informatiebeveiliging, beiden werkzaam bij Dienst Dommelvallei. In het kader van auto¬ 
matisering en beveiliging is een grondige kennis van systemen en programmatuur noodzakelijk. 

Tot slot bestaat er een werkgroep privacy die bijdraagt aan een organisatiebreed privacybewustzijn. 
Door medewerkers van de verschillende afdelingen hierin te laten plaatsnemen, wordt de hele organi¬ 
satie betrokken. Bovendien kan de privacy beheerder zijn taken effectiever uitoefenen doordat hij via 
de medewerkers beter op de hoogte is van wat er binnen de gemeentelijke organisatie speelt. 
Hoofdstuk 3 Beveiliging en bewaren van persoonsgegevens 

De afdelingsbeheerder draagt er zorg voor dat duidelijk is welke risico's er binnen zijn of haar afdeling 
zijn en welke maatregelen naar aanleiding daarvan genomen moeten worden, een zogeheten risico 
inventarisatie & evaluatie. Dit wordt teruggekoppeld aan het college en de privacy beheerder zodat, 
indien nodig, het informatiebeveiligingsbeleid kan worden aangepast. Een belangrijk aspect daarbij is 
ook dat de afdelingsbeheerder er zorg voor draagt dat met bewerkers in het kader van een verwerking 
van persoonsgegevens die toebehoort aan zijn of haar afdeling bindende afspraken worden gemaakt. 
Tot slot is van belang dat persoonsgegevens op de juiste manier worden opgeslagen, bewaard en 
vernietigd. Daarbij moet onder meer worden gelet op termijnen en bewaarlocaties. 

Hoofdstuk 4 Informatieverstrekking en rechten betrokkenen 

De raad wordt uit oogpunt van transparantie en controle middels de resultaten van de tweejaarlijkse 
evaluatie (elke twee jaar) op de hoogte gehouden van de uitvoering van het bij of krachtens de wet en 
deze verordening bepaalde. De informatieverstrekking aan de betrokkenen op initiatief van de gemeente 
is een wettelijke plicht en vormt een uitwerking van het transparantiebeginsel. Dit kan onder meer met 
brochures en folders. Betrokkenen kunnen daarnaast een beroep doen op het recht van inzage, correctie 
en verzet. Het is wenselijk dat elke afdeling hiervoor procedures en mechanismen opstelt. De privacy 
beheerder heeft een goedkeurende rol. Op die manier kan hij de afdelingsbeheerder vooraf wijzen op 
eventuele risico's en kunnen problemen worden voorkomen. 

Hoofdstuk 5 Centraal register 

In dit hoofdstuk wordt aangesloten bij de melding als bedoeld in artikel 27-30 van de wet, alsmede bij 
de documentatieplicht zoals die komt te luiden in artikel 28 van de Algemene verordening gegevensbe¬ 
scherming (EU). Het centraal register bevat de verwerkingen van persoonsgegevens die onder de 
reikwijdte van deze gemeentelijke verordening vallen. Dit overzicht is onmisbaar voor een effectief 
privacybeleid. 

Hoofdstuk 6 Toezicht en controle 

Er moet voor worden gewaakt dat deze verordening, en in bredere zin het privacybeleid, geen papieren 
tijger wordt en in een bureaulade verdwijnt. Controle en toezicht op de naleving hiervan zijn daarom 
vereist. Dit komt tot uiting in de toezichthoudende taak van de privacy beheerder die daarvoor ook de 
benodigde bevoegdheden heeft. Tevens kan hij ambtshalve een onderzoek instellen. Artikel 14 derde 
lid van deze verordening is gebaseerd op artikel 60 Wbp. 

Hoofdstuk 7 Slotbepalingen 

Privacy, daaronder begrepen de verwerking van persoonsgegevens, is bij uitstek een dynamisch onder¬ 
werp dat voortdurend aan verandering onderhevig is. Daarbij spelen maatschappelijke opvattingen 
een rol. Van grote invloed zijn zeker ook ontwikkelingen op het gebied van techniek en technologie, 
zoals de toenemende digitalisering. Dit hoofdstuk bevat daarom naast een hardheidsclausule, welke 
overigens terughoudend moet worden toegepast gelet op precedentwerking, een bepaling voor onvoor¬ 
ziene omstandigheden. Deze twee bepalingen zorgen voor de nodige flexibiliteit indien dat nodig mocht 
zijn. 
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